Situationsaufgabe: VPN & Remote-Access
VPN und Remote-Access sind in der FISI-Prüfung ein Dauerthema – und seit der Homeoffice-Welle der letzten Jahre noch praxisrelevanter als zuvor. Die Situationsaufgabe testet, ob du ein VPN-Konzept für einen konkreten Betrieb entwerfen kannst: den richtigen VPN-Typ wählen (Site-to-Site vs. Client-to-Site), Protokolle begründen (IPsec, OpenVPN, WireGuard), Authentifizierungsverfahren festlegen und Sicherheitsmaßnahmen für Remote-Zugriff beschreiben.
1) Das Szenario
Betrieb: Die Bau AG (Bauunternehmen, 200 Mitarbeitende, Hauptsitz Köln) hat zwei neue Anforderungen:
- Anforderung 1 – Filiale Bonn: Die neue Filiale Bonn (20 Mitarbeitende) soll dauerhaft Zugriff auf den zentralen Fileserver und das ERP-System in Köln erhalten. Die Verbindung soll verschlüsselt und stabil sein.
- Anforderung 2 – Homeoffice: 40 Mitarbeitende sollen von zuhause auf interne Ressourcen (Fileserver, Intranet) zugreifen können. Zugriff nur mit Firmengeräten und MFA.
Infrastruktur Köln: pfSense-Firewall (öffentliche IP: 203.0.113.10), internes Netz: 10.10.0.0/16. Fileserver: 10.10.10.50, ERP-Server: 10.10.40.20.
Infrastruktur Bonn (neu): pfSense-Firewall (öffentliche IP: 203.0.113.50), internes Netz: 10.20.0.0/24.
Sicherheitsanforderungen: Kein Split-Tunneling für Homeoffice-Mitarbeitende (gesamter Traffic über VPN). Logging aller VPN-Verbindungen.
2) Teilaufgaben mit Musterlösungen
3) VPN-Typen im Überblick
🏢 Site-to-Site VPN
Zwei Netzwerke werden dauerhaft verbunden. Die Firewall/der Router baut den Tunnel auf – Endgeräte bemerken nichts davon, sie routen wie im gleichen LAN.
Einsatz: Hauptsitz ↔ Filiale, Rechenzentrum ↔ Cloud (AWS VPN Gateway)
Protokoll: IPsec (IKEv2), typisch mit Pre-Shared-Key oder Zertifikaten
👤 Client-to-Site VPN
Ein einzelnes Gerät baut einen Tunnel zum Firmennetz auf. Nutzer authentifiziert sich, bekommt eine interne IP aus einem VPN-Pool.
Einsatz: Homeoffice, Außendienst, Wartungszugang für Dienstleister
Protokoll: OpenVPN, WireGuard, IPsec IKEv2 (mit EAP), SSL-VPN
🌐 SSL-VPN / Clientless
Zugriff über den Browser (HTTPS) ohne installierten VPN-Client. Nur auf bestimmte Web-Applikationen, kein volles Netzwerktunnel.
Einsatz: Gast-Zugriff, schnelle Lösung ohne Client-Installation
Protokoll: HTTPS/TLS, kein Layer-3-Tunnel
⚡ WireGuard
Modernes, schlankes VPN-Protokoll. Sehr schnell, einfache Konfiguration, geringer Overhead. Für Client-to-Site und Site-to-Site geeignet.
Einsatz: Homeoffice-Lösung, eingebaut in pfSense/OPNsense seit 2022
Protokoll: UDP, public-key-basiert (kein IKE-Overhead)
4) VPN-Protokolle im Vergleich
| Protokoll | Schicht | Stärken | Schwächen | Typischer Einsatz |
|---|---|---|---|---|
| IPsec IKEv2 | L3 | Standard, sehr sicher, schnelles Re-Connect (MOBIKE) | Komplex zu konfigurieren, NAT-Traversal nötig | Site-to-Site, Enterprise Client-to-Site |
| OpenVPN | L3/L2 | Flexibel, läuft über TCP/UDP, gut durch NAT/Firewalls | Älter, langsamer als WireGuard | Client-to-Site, plattformübergreifend |
| WireGuard | L3 | Sehr schnell, einfach, modernes Kryptografie (ChaCha20) | Neuer, weniger erprobt in Enterprise; UDP-only | Homeoffice, moderne Setups |
| L2TP/IPsec | L2 | In vielen Betriebssystemen eingebaut | Langsamer (doppelte Kapselung), gilt als veraltet | Legacy-Setups, wird abgelöst |
Zusammenfassung
VPN-Situationsaufgaben kombinieren fast immer zwei Anforderungen: Site-to-Site für Standortanbindung und Client-to-Site für Remote-Nutzer. Die Prüfungsantwort muss beide Tunnel beschreiben, die Protokollwahl begründen, Authentifizierungsverfahren nennen (MFA!), IP-Adressbereiche definieren (kein Overlap!) und Sicherheitsmaßnahmen aufführen (kein Split-Tunneling, Logging). Protokollwahl: IPsec IKEv2 für Site-to-Site, WireGuard oder OpenVPN für Client-to-Site – jeweils begründen.
Verwandte Lektionen: Situationsaufgabe Netzwerk · Situationsaufgabe IT-Sicherheit · VPN-Typen · und mehrWeitere relevante LektionenTLS/SSLFirewall-RegelwerkMan-in-the-Middle